57 artikla 📖 GDPR. Tehtävät

57 artikla GDPR. Tehtävät

Article 57 GDPR. Tasks

1. Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

a) valvottava tämän asetuksen soveltamista ja pantava se täytäntöön;

(a) monitor and enforce the application of this Regulation;

b) edistettävä yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

(b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention;

c) annettava jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

(c) advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to processing;

d) edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

(d) promote the awareness of controllers and processors of their obligations under this Regulation;

e) annettava pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tehtävä yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

(e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;

f) käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

Liittyvä artikkeli

80 artikla GDPR. Rekisteröityjen edustaminen

Article 80 GDPR. Representation of data subjects

g) tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;

(g) cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation;

h) suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

(h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;

i) seurattava erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

(i) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices;

j) hyväksyttävä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut vakiosopimuslausekkeet;

(j) adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2);

Liittyvä artikkeli

28 artikla GDPR. Henkilötietojen käsittelijä

Article 28 GDPR. Processor

[…]

8. Valvontaviranomainen voi hyväksyä vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

[…]

46 artikla GDPR. Siirto asianmukaisia suojatoimia soveltaen

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

d) tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

[…]

k) laadittava 35 artiklan 4 kohdan mukainen luettelo siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpidettävä tätä luetteloa;

(k) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4);

Liittyvä artikkeli

35 artikla GDPR. Tietosuojaa koskeva vaikutustenarviointi

Article 35 GDPR. Data protection impact assessment

[…]

4. Valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi. Valvontaviranomaisen on toimitettava tällaiset luettelot 68 artiklassa tarkoitetulle neuvostolle.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

[…]

l) annettava neuvontaa 36 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;

(l) give advice on the processing operations referred to in Article 36(2);

Liittyvä artikkeli

36 artikla GDPR. Ennakkokuuleminen

Article 36 GDPR. Prior consultation

[…]

2. Jos valvontaviranomainen katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, valvontaviranomaisen on enintään kahdeksan viikon kuluessa kuulemispyynnöstä annettava kirjallisesti ohjeet rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle ja se voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Jos sovelletaan jatkettua määräaikaa, valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja tarvittaessa henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa pyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes valvontaviranomainen on saanut tiedot, joita se on mahdollisesti pyytänyt kuulemista varten.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

[…]

m) kannustettava laatimaan 40 artiklan 1 kohdan mukaisesti käytännesäännöt, annettava niistä lausunto ja hyväksyttävä sellaiset käytännesäännöt, joissa sovelletaan riittäviä suojatoimia 40 artiklan 5 kohdan mukaisesti;

(m) encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5);

Liittyvä artikkeli

40 artikla GDPR. Käytännesäännöt

Article 40 GDPR. Codes of conduct

1. Jäsenvaltioiden, valvontaviranomaisten, tietosuojaneuvoston ja komission on edistettävä sellaisten käytännesääntöjen laatimista, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista, ottaen huomioon käsittelyn eri sektorien erityispiirteet ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

[…]

5. Tämän artiklan 2 kohdassa tarkoitettujen yhdistysten ja muiden elinten, jotka aikovat laatia käytännesääntöjä tai muuttaa tai laajentaa voimassa olevia käytännesääntöjä, on toimitettava käytännesääntöjen luonnos, muutos tai laajennus valvontaviranomaiselle, joka on 55 artiklan nojalla toimivaltainen. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tämän asetuksen mukainen, ja hyväksyy tämän käytännesääntöjen luonnoksen, muutoksen tai laajennuksen, jos se katsoo sen tarjoavan riittävät asianmukaiset takeet.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

[…]

n) kannustettava ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja ja tietosuojasinettejä ja -merkkejä 42 artiklan 1 kohdan mukaisesti sekä hyväksyttävä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

(n) encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5);

Liittyvä artikkeli

42 artikla GDPR. Sertifiointi

Article 42 GDPR. Certification

1. Jäsenvaltiot, valvontaviranomaiset, tietosuojaneuvosto ja komissio kannustavat ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä erityisesti unionin tasolla, minkä tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat käsittelytoimia suorittaessaan tätä asetusta. Mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet on otettava huomioon.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

[…]

5. Tämän artiklan mukaisen sertifioinnin myöntävät 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen kyseisen toimivaltaisen valvontaviranomaisen 58 artiklan 3 kohdan nojalla tai tietosuojaneuvoston 63 artiklan nojalla hyväksymien kriteerien perusteella. Jos tietosuojaneuvosto on hyväksynyt kriteerit, voidaan tehdä yhteinen sertifiointi, eurooppalainen tietosuojasinetti.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

[…]

o) toteutettava tarvittaessa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien säännöllinen uudelleentarkastelu;

(o) where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7);

Liittyvä artikkeli

42 artikla GDPR. Sertifiointi

Article 42 GDPR. Certification

[…]

7. Sertifiointi myönnetään rekisterinpitäjälle tai henkilötietojen käsittelijälle enintään kolmeksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sitä koskevat vaatimukset edelleen täyttyvät. Jäljempänä 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen peruuttavat sen tarvittaessa, jos sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

p) laadittava ja julkaistava kriteerit 41 artiklan mukaisen elimen akkreditoimiseksi käytännesääntöjen seurantaa varten ja sertifiointielimen akkreditoimiseksi 43 artiklan mukaisesti;

(p) draft and publish the requirements for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Liittyvä artikkeli

41 artikla GDPR. Hyväksyttyjen käytännesääntöjen seuranta

Article 41 GDPR. Monitoring of approved codes of conduct

43 artikla GDPR. Sertifiointielimet

Article 43 GDPR. Certification bodies

q) akkreditoitava elin käytännesääntöjen seurantaa varten 41 artiklan mukaisesti ja sertifiointielin 43 artiklan mukaisesti;

(q) conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Liittyvä artikkeli

41 artikla GDPR. Hyväksyttyjen käytännesääntöjen seuranta

Article 41 GDPR. Monitoring of approved codes of conduct

43 artikla GDPR. Sertifiointielimet

Article 43 GDPR. Certification bodies

r) hyväksyttävä 46 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;

(r) authorise contractual clauses and provisions referred to in Article 46(3);

Liittyvä artikkeli

46 artikla GDPR. Siirto asianmukaisia suojatoimia soveltaen

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

3. Toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

a) rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

b) säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

[…]

s) hyväksyttävä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti;

(s) approve binding corporate rules pursuant to Article 47;

Liittyvä artikkeli

47 artikla GDPR. Yritystä koskevat sitovat säännöt

Article 47 GDPR. Binding corporate rules

t) osallistuttava tietosuojaneuvoston toimintaan;

(t) contribute to the activities of the Board;

u) pidettävä sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä; ja

(u) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and

Liittyvä artikkeli

58 artikla GDPR. Valtuudet

Article 58 GDPR. Powers

[…]

2. Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

2. Each supervisory authority shall have all of the following corrective powers:

a) varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

c) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

(c) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

d) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

(d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

e) määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

(e) to order the controller to communicate a personal data breach to the data subject;

f) asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

(f) to impose a temporary or definitive limitation including a ban on processing;

g) määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 16, 17 ja 18 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 17 artiklan 2 kohdan ja 19 artiklan mukaisesti;

(g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;

h) peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi tai kieltää sertifiointielintä antamasta sertifiointia silloin kun sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty;

(h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;

i) määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen;

(i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case;

j) määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

(j) to order the suspension of data flows to a recipient in a third country or to an international organisation.

[…]

v) suoritettava mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä.

(v) fulfil any other tasks related to the protection of personal data.

2. Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten antamalla mahdollisuuden käyttää valituslomaketta, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication.

3. Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tapauksen mukaan tietosuojavastaavalle.

3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer.

4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, valvontaviranomainen voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

Yleinen tietosuoja-asetus (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Perustelukappaleet Jätä kommentti

Perustelukappaleet

(123) Valvontaviranomaisten olisi seurattava tämän asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla. Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa ilman, että tarvitaan mitään jäsenvaltioiden välistä sopimusta keskinäisen avunannon antamisesta tai tällaisesta yhteistyöstä.

(123) The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation.

(132) Yleisölle suunnattuun valvontaviranomaisen tiedotustoimintaan olisi sisällytettävä erityistoimia, jotka on osoitettu rekisterinpitäjille ja henkilötietojen käsittelijöille, mikroyritykset sekä pienet ja keskisuuret yritykset mukaan lukien, sekä luonnollisille henkilöille erityisesti koulutuksen yhteydessä.

(132) Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context.

Jätä kommentti

[js-disqus]